新版snort安装部署指南⭐

原创 sauren  2019-07-16 10:21  阅读 290 views 次 评论 2 条

一、环境介绍

Centos 6.9  ( Ubuntu及其他系列的需要搜索相关依赖包进行安装)

snort V_2.9.13.0

前置步骤,依赖包安装:

yum install flex bison mysql-devel gcc libdnet-devel libdnet libpcap-devel libnetfilter_queue-devel mysql-libs  pcre-devel zlib-devel mysql-community-devel  mysql-community-libs
yum install mysql-devel

二、正式安装

安装DAQ:

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

tar xvzf daq-2.0.6.tar.gz
                      
cd daq-2.0.6
./configure && make && sudo make install

注意⭐:

如出现daq_static library not found的情况,需要vim /etc/profile,将daq的执行文件目录加入环境变量中,再source命令使之生效。

 

安装Snort:

wget https://www.snort.org/downloads/snort/snort-2.9.13.tar.gz

tar xvzf snort-2.9.13.tar.gz
                      
cd snort-2.9.13
./configure --enable-sourcefire && make && sudo make install

注意⭐⭐:

如果提示ERROR! LuaJIT library not found. Go get it from http://www.luajit.org,请按以下步骤安装luajit。

sudo wget http://luajit.org/download/LuaJIT-2.0.5.tar.gz
sudo tar -zxvf LuaJIT-2.0.5.tar.gz
cd LuaJIT-2.0.5/
sudo make && sudo make install

snort2.8.2版本以后,必须使用插件来将日志转入mysql,所以需要安装Barnyard2:

wget https://github.com/firnsy/barnyard2/archive/v2-1.13.tar.gz -O barnyard2-2-1.13.tar.gz
依次运行:
tar zxvf barnyard2-2-1.13.tar.gz
cd barnyard2-2-1.13
autoreconf -fvi -I ./m4

不同的机器请find libmysqlclient.*文件的位置:

./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql --with-mysql-includes=/usr/include/

make && make install
cp /usr/local/etc/barnyard2.conf /etc/snort
mkdir /var/log/barnyard2

三、修改相关配置:

在/etc/snort/snort.conf文件的520行附近(大概位置)加入例如以下并保存文件。
output unified2: filename snort.u2, limit 128

(此命令用于使snort产生unified2格式的log)

vi /etc/snort/barnyard2.conf
#227行 改为:
output alert_fast ( instead of output alert_fast: stdout )
#348行, 修改mysql配置为你的正确配置:
output database: log, mysql, user=snort password=secret2 dbname=snort host=localhost

(一般情况下,日志量较少,可以使用barnyard2的mysql插件来转存日志,后期日志量巨大,也可以考虑使用syslog的插件,推送到ES等来进行存储搜索。)

四、启动

snort启动命令:

snort -v -c /etc/snort/snort.conf -l /var/log/snort/

barnyard2启动命令:

barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.waldo

Snort的规则商业版的是需要付费的,读者们可以到以下github项目去搜索公众更新的规则:

此处为隐藏的内容!
发表评论并刷新,才能查看
本文地址:/archives/217.html
版权声明:本文为原创文章,版权归 sauren 所有,欢迎分享本文,转载请保留出处!
高性能云服务器特惠

发表评论


表情

  1. qq_avatar
    ppmm @回复

    为楼主点赞